{"id":64,"date":"2007-05-12T17:04:00","date_gmt":"2007-05-12T17:04:00","guid":{"rendered":"http:\/\/maburro-robermb.rhcloud.com\/?p=64"},"modified":"2007-05-12T17:04:00","modified_gmt":"2007-05-12T17:04:00","slug":"anti-rootkits","status":"publish","type":"post","link":"https:\/\/robermb.com\/blog\/geeks\/seguridad\/anti-rootkits\/","title":{"rendered":"Anti-Rootkits"},"content":{"rendered":"

\u00bfQu\u00e9 es un rootkit?<\/span><\/b>
\nEl t\u00e9rmino viene de la uni\u00f3n de \u201croot\u201d y de \u201ckit\u201d. \u201croot\u201d se refiere al usuario con m\u00e1ximos derechos en sistemas tipo Unix (puede ser Unix, AIX, Linux, etc). Es el superusuario, el \u201cadministrador\u201d, en definitiva, es la expresi\u00f3n m\u00e1xima de autoridad sobre un determinado sistema inform\u00e1tico. Por su parte, \u201ckit\u201d se refiere a un conjunto de herramientas, por lo que un rootkit se puede entender como un conjunto de herramientas con categor\u00eda de administrador de un sistema.<\/p>\n

\"\"<\/a><\/div>\n

Un rootkit es una herramienta, o un grupo de ellas usadas para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows.<\/p>\n

<\/p>\n

Los rootkits, en la pr\u00e1ctica, son programas que una vez instalados en un sistema, efect\u00faan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada tan f\u00e1cilmente como un virus. Fundamentalmente, los rootkits tratan de encubrir a otros procesos que est\u00e1n llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultar\u00e1 los puertos abiertos que delaten la comunicaci\u00f3n; o si hay un sistema para enviar spam, ocultar\u00e1 la actividad del sistema de correo o si por ejemplo el rootkit reserva una cantidad de espacio de disco (2Teras) en un servidor de una empresa para colgar videos porno, ocultar\u00e1 que esos 2 Teras de disco se est\u00e9n utilizando, como me han contado hace poco. La \u00fanica limitaci\u00f3n es la imaginaci\u00f3n del creador.<\/p>\n

Invisibilidad de los rootkits<\/span><\/b>
\nLos rootkits, al estar dise\u00f1ados para pasar desapercibidos, no pueden ser detectados f\u00e1cilmente. Si un usuario (o incluso el usuario root) intenta analizar el sistema para ver qu\u00e9 procesos est\u00e1n ejecut\u00e1ndose, el rootkit mostrar\u00e1 informaci\u00f3n falsa, mostrando todos los procesos excepto \u00e9l mismo y los que est\u00e1 ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit har\u00e1 que se muestre esa informaci\u00f3n pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.<\/p>\n

Cuando el antivirus hagan una llamada al sistema operativo para comprobar qu\u00e9 ficheros hay, o cuando intente averiguar qu\u00e9 procesos est\u00e1n en ejecuci\u00f3n, el rootkit falsear\u00e1 los datos y el antivirus no podr\u00e1 recibir la informaci\u00f3n correcta para llevar a cabo la desinfecci\u00f3n del sistema.<\/p>\n

Un rootkit no se propaga como un virus<\/span><\/b>
\nAdem\u00e1s, los rootkits presentan un problema a\u00f1adido: no son c\u00f3digos que se propaguen por s\u00ed solos. Si un rootkit est\u00e1 en un sistema es porque ha sido introducido directamente, no porque se haya propagado a trav\u00e9s de Internet como un gusano tradicional. As\u00ed, es muy posible que un determinado rootkit est\u00e9 pensado y dise\u00f1ado para un sistema concreto, no para una generalidad de ordenadores. Sus funciones y caracter\u00edsticas dependen del sistema atacado, una soluci\u00f3n hecha a medida para llevar a cabo acciones maliciosas en un determinado sistema.<\/p>\n

Desinfecci\u00f3n de rootkits<\/span><\/b>
\nA pesar de todo esto, los rootkits pueden eliminarse<\/b>, aunque no tan f\u00e1cilmente como un virus. Como ya he dicho, los rootkits se autoprotegen escondi\u00e9ndose y evitando que ning\u00fan otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria.<\/p>\n

El mejor m\u00e9todo para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia<\/b>. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s\u00ed mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.<\/p>\n

Anti-rootkits<\/span><\/b>
\nLa forma m\u00e1s f\u00e1cil de detectar y as\u00ed poder eliminar un rootkit de nuestro sistema es utilizando un Anti-rootkit.<\/p>\n

Para Sistemas Windows:<\/b><\/p>\n

RootkitRevealer <\/b><\/p>\n

RootkitRevealer compara los resultados del escaneo de un sistema al nivel m\u00e1s alto (la API de Windows) y al m\u00e1s bajo (formato de almacenaje en disco del Registro, denominado por RKR como Registry hive). De este modo un rootkit que manipula la API de Windows o una API nativa para ocultarse de un comando dir, por ejemplo, ser\u00e1 visto por RKR como una discrepancia entre la informaci\u00f3n devuelta por la API y lo que detecta el escaneo a bajo nivel de la estructura de un sistema de ficheros FAT o NTFS…<\/p>\n

El programa es gratuito y s\u00f3lo pesa 190 KB.<\/p>\n

Tras descargar el programa, basta descomprimirlo y pulsar el bot\u00f3n Scan del ejecutable. Para no ser detectado por los creadores de malware, RKR se ejecuta como servicio bajo una copia de nombre aleatorio.<\/p>\n

P\u00e1gina Oficial RootkitRevealer<\/a>
\nurl: http:\/\/www.microsoft.com\/technet\/sysinternals\/utilities\/RootkitRevealer.mspx<\/p>\n

Para Sistemas Unix, BSD y Linux:<\/b><\/p>\n

Rootkit Hunter <\/b><\/p>\n

Se basa en valores hash MD5 de ficheros importantes o t\u00edpicos, busca ficheros ocultos, ejecuta tests espec\u00edficos para cada sistema operativo, analiza permisos de ficheros, m\u00f3dulos del kernel, puertos a la escucha, etc.<\/p>\n

P\u00e1gina Oficial Rootkit Hunter<\/a>
\nurl: http:\/\/www.rootkit.nl\/projects\/rootkit_hunter.html<\/p>\n

Fuentes<\/span>:<\/b>
\nhttp:\/\/es.wikipedia.org
\nhttp:\/\/www.baquia.com
\nhttp:\/\/www.microsoft.com
\nhttp:\/\/www.kriptopolis.org<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00bfQu\u00e9 es un rootkit? El t\u00e9rmino viene de la uni\u00f3n de \u201croot\u201d y de \u201ckit\u201d. \u201croot\u201d se refiere al usuario … More Anti-Rootkits<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"_links":{"self":[{"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/posts\/64"}],"collection":[{"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/comments?post=64"}],"version-history":[{"count":0,"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/posts\/64\/revisions"}],"wp:attachment":[{"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/media?parent=64"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/categories?post=64"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/robermb.com\/blog\/wp-json\/wp\/v2\/tags?post=64"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}